Cloud NGFW pour les réseaux VPC RoCE

Les stratégies de pare-feu réseau régionales de Cloud Next Generation Firewall peuvent être utilisées par les réseaux de cloud privé virtuel (VPC) associés à un profil de réseau Remote Direct Memory Access (RDMA) sur Ethernet convergé (RoCE). Les réseaux VPC RoCE sont ceux qui sont créés avec un profil de réseau RDMA RoCE.

Les réseaux VPC RoCE permettent d'utiliser des charges de travail zonales pour le calcul haute performance, y compris les charges de travail d'IA dans Google Cloud. Cette page décrit les principales différences dans la compatibilité de Cloud NGFW avec les réseaux VPC RoCE.

Spécifications

Les spécifications de pare-feu suivantes s'appliquent aux réseaux VPC RoCE :

  • Type de réseau VPC RoCE compatible : la compatibilité avec les fonctionnalités Cloud NGFW décrites sur cette page ne s'applique qu'aux réseaux VPC RoCE pour les instances de VM, qui sont créés à l'aide du profil réseau roce. Ces fonctionnalités Cloud NGFW ne sont pas compatibles avec les réseaux VPC RoCE pour les instances Bare Metal, qui sont créées à l'aide du profil réseau roce-metal.

  • Règles et stratégies de pare-feu compatibles : les réseaux VPC RoCE ne sont compatibles qu'avec les règles de pare-feu dans les stratégies de pare-feu réseau régionales. Ils ne sont pas compatibles avec les stratégies de pare-feu réseau mondiales, les stratégies de pare-feu hiérarchiques ni les règles de pare-feu VPC.

  • Région et type de stratégie : pour utiliser une stratégie de pare-feu réseau régionale avec un réseau VPC RoCE, vous devez créer la stratégie avec les attributs suivants :

    • La région de la stratégie de pare-feu doit contenir la zone utilisée par le profil réseau RoCE du réseau VPC RoCE.

    • Vous devez définir le type de stratégie de pare-feu sur RDMA_ROCE_POLICY.

    Par conséquent, une stratégie de pare-feu réseau régionale ne peut être utilisée que par les réseaux VPC RoCE dans une région spécifique. Une stratégie de pare-feu réseau régionale ne peut pas être utilisée à la fois par les réseaux VPC RoCE et les réseaux VPC standards.

  • La stratégie de pare-feu RoCE est sans état : la stratégie de pare-feu RoCE traite chaque paquet comme une unité indépendante et ne suit pas les connexions en cours. Par conséquent, pour vous assurer que deux machines virtuelles (VM) peuvent communiquer, vous devez créer une règle d'entrée autorisée dans les deux sens.

Règles de pare-feu implicites

Les réseaux VPC RoCE utilisent les règles de pare-feu implicites suivantes, qui sont différentes de celles utilisées par les réseaux VPC standards :

  • Sortie implicite autorisée
  • Entrée implicite autorisée

Un réseau VPC RoCE sans aucune règle dans une stratégie de pare-feu réseau régionale associée autorise tout le trafic entrant et sortant. Ces règles de pare-feu implicites ne sont pas compatibles avec la journalisation des règles de stratégie de pare-feu.

Spécifications des règles

Les règles d'une stratégie de pare-feu réseau régionale dont le type de stratégie est RDMA_ROCE_POLICY doivent répondre aux exigences suivantes :

  • Sens d'entrée uniquement : le sens de la règle doit être l'entrée. Vous ne pouvez pas créer de règles de pare-feu de sortie dans une stratégie de pare-feu réseau régionale dont le type de stratégie est RDMA_ROCE_POLICY.

  • Paramètre cible : les tags sécurisés cibles sont compatibles, mais pas les comptes de service cibles.

  • Paramètre source : seules deux des valeurs de paramètre source suivantes sont compatibles :

    • Les plages d'adresses IP sources (src-ip-ranges) sont compatibles, mais la seule valeur valide est 0.0.0.0/0.

    • Les tags sécurisés sources (src-secure-tags) sont entièrement compatibles. L'utilisation de tags sécurisés est la méthode recommandée pour segmenter les charges de travail qui se trouvent dans le même réseau VPC RoCE.

    Les tags sécurisés sources et les plages d'adresses IP sources s'excluent mutuellement. Par exemple, si vous créez une règle avec src-ip-ranges=0.0.0.0/0, vous ne pouvez pas utiliser de tags sécurisés sources (src-secure-tags). Les autres paramètres sources qui font partie de Cloud NGFW Standard (groupes d'adresses sources, noms de domaine sources, géolocalisations sources, listes Google Threat Intelligence sources) ne sont pas compatibles.

  • Paramètre d'action : les actions d'autorisation et de refus sont compatibles, avec les contraintes suivantes :

    • Une règle d'entrée avec src-ip-ranges=0.0.0.0/0 peut utiliser l'action ALLOW ou DENY.

    • Une règle d'entrée avec un tag sécurisé source ne peut utiliser que l'action ALLOW.

  • Paramètres de protocole et de port : le seul protocole compatible est all (--layer4-configs=all). Les règles qui s'appliquent à des protocoles ou des ports spécifiques ne sont pas autorisées.

Surveillance et journalisation

La journalisation des règles de stratégie de pare-feu est compatible avec les contraintes suivantes :

  • Les journaux des règles de pare-feu d'entrée autorisées sont publiés une fois par établissement de tunnel et fournissent des informations sur les paquets à deux tuples.

  • Les journaux des règles de pare-feu d'entrée refusées sont publiés sous forme de paquets échantillonnés et fournissent des informations sur les paquets à cinq tuples. Les journaux sont publiés à une fréquence maximale d'une fois toutes les cinq secondes, et tous les journaux de pare-feu sont limités à 4 000 paquets par cinq secondes.

Fonctionnalités non compatibles

Les fonctionnalités suivantes ne sont pas compatibles :

Configurer des réseaux VPC RoCE

Pour créer des règles de pare-feu pour un réseau VPC RoCE, suivez ces consignes et utilisez ces ressources :

Étape suivante